Fortinet ve CVE-2020-12812 Açıklaması
Fortinet, geçtiğimiz günlerde, beş yaşındaki bir güvenlik açığının aktifleştirildiğine dair açıklamada bulundu. Bu açıklama, FortiOS SSL VPN’deki CVE-2020-12812 açığına yönelikti. Bu durum, belirli konfigürasyonlarda, kullanıcıların ikinci faktör doğrulaması istemeden oturum açmalarına olanak tanıyor.
Açığın Özellikleri ve Etkileri
Açığın CVSS puanı 5.2’dir ve SSL VPN üzerindeki uygunsuz kimlik doğrulama ile ilgilidir. İlgili durum, iki faktörlü kimlik doğrulamanın ‘yerel kullanıcı’ ayarında etkinleştirilmesi ve kullanıcının kimlik doğrulama tipinin uzaktan bir kimlik doğrulama yöntemi olarak ayarlandığında ortaya çıkmaktadır. Fortinet, “Kullanıcı girişinde kullanılan isimlerin büyük-küçük harf duyarlılığına sahip olamaması bu sorunun temel nedenidir” demektedir.
Bu nedenle, kullanıcı ‘Jsmith’ ya da ‘jsmiTh’ gibi varyasyonlarla giriş yaptığında, FortiGate bu girişleri yerel kullanıcı ile eşleşmeyecek şekilde değerlendirmekte ve diğer kimlik doğrulama seçeneklerini kontrol etmeye başlamaktadır.
Açığın Aktif Kullanımı ve Önlem Önerileri
Açığın, çeşitli tehdit aktörleri tarafından aktif bir şekilde kullanıldığı bildirilmiştir. Özellikle ABD hükümeti, bu açığı, 2021’deki siber saldırılarda hedef haline gelen zayıflıklar arasında listelemiştir. Son yapılan açıklamada, CVE-2020-12812 açığının, belirli koşullar altında aktivasyon gerektirdiği belirtilmiştir. Bu koşullar şunlardır:
- FortiGate üzerinde 2FA ile yerel kullanıcı kayıtları bulunmalıdır.
- Aynı kullanıcıların LDAP sunucusunda bir grup üyesi olmaları gerekmektedir.
- İki faktörlü kullanıcıların üye olduğu en az bir LDAP grubunun FortiGate’e yapılandırılmış olması ve bu grubun bir kimlik doğrulama politikasında kullanılması gereklidir.
Kimlik Doğrulama Bypass’ini Önlemenin Yolları
Eğer yukarıdaki ön koşullar sağlanıyorsa, LDAP kullanıcıları, 2FA yapılandırması ile güvenlik katmanını aşabilmektedir. Çözüm olarak Fortinet, 6.0.10, 6.2.4 ve 6.4.1 sürümlerini yayınlamıştır. Eğer bu sürümler kullanılmıyorsa, tüm yerel hesaplar için şu komutların çalıştırılması önerilmektedir:
set username-case-sensitivity disable
Bunun yanı sıra, 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya sonrasında olan FortiOS sürümlerinin kullanıcıları, aşağıdaki komutu çalıştırmalıdır:
set username-sensitivity disable
Sonuç ve Tavsiyeler
Fortinet, kullanıcıların ‘jsmith’, ‘JSmith’ gibi farklı varyasyonları benzer olarak değerlendirme yapıldığında, açığın etkisinin ortadan kalkacağını bildirmektedir. Ek olarak, gereksizse, ikincil LDAP grubunun kaldırılması da önerilmektedir. Bu, LDAP grubundan kimlik doğrulama yapılmasını engelleyerek, açığın tamamen önlenmesini sağlayacaktır.
Yapılan son açıklamalar, açığı kullanan saldırılar hakkında ayrıntılı bilgi vermemekte. Ancak Fortinet, etkileyen müşterilerin destek ile iletişime geçmesini ve 2FA olmadan kimlik doğrulaması yapılan kullanıcıların tüm kimlik bilgilerini sıfırlamasını tavsiye etmektedir.
